檢視次數:
以下類別包含由事件回應證據收集劇本、收集證據任務趨勢科技事件回應工具包從 Windows 端點收集的證據類型描述。這些證據類型在檢查證據報告時選擇證據類別後顯示在列中。
屬性 說明
檔案路徑
檔案的絕對路徑
檔案大小
檔案大小(位元組)
SHA1
文件內容的 SHA1 已加密雜湊
使用者帳號
與檔案相關聯的帳號名稱或安全識別碼
使用者網域
與檔案相關聯的安全識別碼的網域名稱
檔案副檔名
表示檔案格式的後綴
真實檔案類型
由檔案標頭中的簽名確定的檔案類型
目錄已簽署
指示檔案是否包含目錄檔中的數位簽章
嵌入式簽名
嵌入式 PE 文件上的簽章是否已驗證的指示
目錄簽署者
目錄檔案中數位簽章的簽署者
嵌入式簽署者
嵌入式PE文件中的數位簽章簽署者
編譯時間戳
PE 文件編譯時間
匯入表雜湊
 PE 文件中匯入函數的 MD5 雜湊值
連結器版本
文件連結器的版本號
檔案版本
以四個 16 位元整數表示的檔案版本號碼
偵錯路徑
存在的任何調試信息的文件路徑
子系統
運行該映像需要哪個 Windows 子系統
公司名稱
編譯檔案時的內部公司名稱
檔案描述
檔案編譯時的內部描述
內部名稱
檔案的內部名稱
建立時間
檔案在檔案系統中建立的時間
修改時間
上次在檔案系統中修改該檔案的時間
存取時間
上次在檔案系統中存取該檔案的時間
證據類型
證據資料防護
說明
系統資訊
主機名稱
端點的 DNS 主機名稱
UUID
系統生成的端點硬體配置文件的全域唯一識別碼 (GUID) 字串
CPU 類型
系統處理器架構
CPU 品牌
當前支援的處理器品牌
CPU 實體核心
CPU 中的物理核心數量
CPU邏輯核心
CPU 中的邏輯核心數量
CPU 微碼
 作為CPU韌體的中介代碼
實體記憶體 (KB)
顯示的物理記憶體數量以KB為單位
硬體供應商
 系統主機板的製造商
硬體型號
 端點的裝置型號
硬體序號
 端點硬體的軟體元件的產品序號
電腦名稱
端點的NetBIOS名稱
作業系統版本
名稱
作業系統發行版或產品名稱
安裝時間
端點上作業系統的安裝日期
版本
端點上運行的主要作業系統版本
主要
當前作業系統的主要版本
次要
 當前作業系統的小版本更新
構建
 特定版本或變體作業系統版本識別碼
平台
作業系統平台或 ID
平台如
密切相關的平台
代號
 作業系統版本代號
Arch
 作業系統架構
介面詳細資料
MAC
端點網路介面卡的媒體存取控制 (MAC) 位址
最後修改時間
 上次裝置修改時間
網路介面
與網路 IPv4 位址相關的 IPv4 介面索引
MTU
最大傳輸單元 (MTU) 大小(位元組)
度量
網路介面卡位址的 IPv4 介面度量
標記
 指定網路介面卡設定的標誌
碰撞
 檢測到的封包碰撞數
友好名稱
 網路介面卡的使用者友好名稱
說明
網路介面卡的描述
製造商
網路介面卡的製造商
連線 ID
在控制台網路連線部分顯示的網路連線名稱
連線狀態
 網路介面卡網路連線狀態
已啟動
指示適配器是否已啟動
實體介面卡 指示適配器是否為實體
速度
 當無法進行估算時,以每秒位元數估算當前頻寬或標稱頻寬
Service
網路介面卡的服務名稱
DHCP 已啟動 指示是否已啟動 DHCP v4
DHCP 租約到期
 租賃 IP 位址分配給端點的到期日期和時間由 DHCP 伺服器決定
已獲取 DHCP 租約
 租用的 IP 位址通過 DHCP 伺服器分配給端點的日期和時間
DHCP 伺服器
DHCP 伺服器的 IP 位址
DNS 網域
組織的網域名稱和後綴
DNS 網域後綴搜尋順序
在嘗試網域名稱解析時,將應用於主機名稱末尾的 DNS 網域後綴列表
DNS 主機名稱
用於識別端點進行驗證的名稱
DNS 伺服器搜尋順序
查詢 DNS 伺服器時使用的伺服器 IP 地址列表
iPackets
 介面接收到的單播封包數量
oPackets
 通過介面傳送的資料防護位元組數
iBytes
介面接收的資料防護位元組數
oBytes
通過介面發送的單播封包數量
iErrors
由於錯誤而丟棄的傳入封包數量
oErrors
由於錯誤而丟棄的傳出封包數量
iDrops
無錯誤但丟棄的進入封包數量
oDrops
即使沒有錯誤也丟棄的傳出封包數量
介面位址
網路介面
與網路 IPv4 位址相關的 IPv4 介面索引
位址
地址的唯讀使用者友好名稱
遮罩
IPv4 子網路遮罩
類型
 IPv4 或 IPv6 位址後綴的來源
友好名稱
 網路介面卡的使用者友好名稱
磁碟區資訊
路徑
 目前的磁碟機路徑
名稱
 檔案系統上的磁碟機名稱
系統
 檔案系統類型,例如 FAT 或 NTFS
最大元件長度
檔案系統支援的檔案名稱最大字元長度
檔案系統標誌
與檔案系統相關的標誌
磁碟機類型
指示磁碟機類型的值,例如可移除、固定、SSD 或 CD-ROM
系統磁碟環境
系統根目錄
根目錄 Windows 目錄
系統磁碟
安裝 Windows 的磁碟機
證據資料防護
說明
建立時間 ($FN)
 根據較新的 NTFS 系統創建檔案的時間和日期
路徑
檔案的絕對路徑
修改時間 ($FN)
根據較新的 NTFS 系統,檔案最後修改的時間和日期
存取時間 ($FN)
根據較新的 NTFS 系統,檔案最後存取的時間和日期
記錄時間 ($FN)
根據較新的 NTFS 系統,檔案最後狀態變更的時間和日期
目錄
檔案所在的目錄
檔案名稱
檔案路徑的名稱部分
Inode
檔案系統索引節點的數量
檔案 ID
檔案的ID值
UID
檔案擁有者的使用者 ID
屬性
定義檔案屬性的字串
符號連結
指示檔案路徑是否為符號連結
類型
檔案的當前狀態
建立時間 ($STD)
根據較舊的 NTFS 系統創建檔案的時間和日期
寫入時間 ($STD)
 根據較舊的 NTFS 系統,檔案最後修改的時間和日期
存取時間 ($STD)
根據較舊的 NTFS 系統,檔案最後一次存取的時間和日期
記錄時間 ($STD)
根據舊版 NTFS 系統,檔案最後狀態變更的時間和日期
硬連結
檔案的硬連結數
檔案版本
檔案的當前版本
大小
 檔案大小(位元組)
證據資料防護
說明
處理程序名稱
進程名稱
處理影像
 進程的影像檔路徑
PID
進程 ID
父 PID
 父程序的程序 ID
處理檔案 SHA1
進程文件的 SHA1 雜湊值
目錄簽章
指示該程序的目錄文件是已簽名還是未簽名
嵌入式簽章
指示該進程是否包含嵌入的簽章
使用者名稱
執行該進程的用戶帳戶
網域
執行該程序的使用者網域
建立時間
進程創建的時間
退出時間
進程退出時間
核心時間
 該進程在核心模式下執行的時間
使用者時間
 該進程在用戶模式下執行的時間
證據類型
證據資料防護
說明
自動啟動項目
來源
自動執行項目的登錄路徑模式
檔案系統建立時間
在檔案系統中建立此項目的時間
名稱
與登錄中的自動執行項目相關聯的檔案名稱
登錄路徑
自動執行項目的完整註冊表路徑
條目名稱
自動執行項目的登錄資料夾或鍵名稱
執行命令
 用於執行條目的自動執行條目的註冊表值
路徑
從登錄中獲取的項目檔案路徑
登錄修改時間
上次修改登錄檔鍵或相關項目值的時間
排程任務
名稱
已註冊任務的名稱
處理行動
任務執行的可執行動作
路徑
可執行檔案的路徑
已啟動
指示任務當前是否已啟動
狀態
已註冊任務的運行狀態
隱藏
指示任務是否在使用者介面上可見
上次執行時間
註冊任務上次執行的時間
下次執行時間
註冊任務下一次預定執行的時間
上次執行訊息
任務最後執行失敗時返回的訊息
上次執行代碼
任務上次執行成功的結果
證據類型 證據資料防護 說明
AmCache
記錄時間
程式執行、安裝或資料防護更新時間
登錄修改時間
上次修改登錄檔的時間
ShimCache
記錄時間
上次應用程式檔案被修改的時間
上次更新時間
上次修改登錄檔的時間